网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　在黑客攻击方面，包过滤式防火墙，在今天的黑客技术下，显得不堪一击。攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的，”信息包冲击“是黑客比较常用的一种攻击手段，黑客们对包过滤式防火墙发出一系列信息包，不过这些包中的IP地址已经被替换掉了(FakeIP)，取而代之的是一串顺序的IP地址。一旦有一个包通过了防火墙，黑客便可以用这个IP地十来伪装他们发出的信息。另外，黑客们还可使用一种他们自己编制的路由器攻击程序，这种程序使用路由器协议来发送伪造的路由信息，这样所有的包都会被重新路由到一个入侵者所指定的特别地址。

　　对付包包防火墙另一种方法就是通常所说的”网络炸弹“，或者说”拒绝服务“(DoS)。攻击者向被攻击的计算机发出许许多多个虚假的”同步请求“信号包，当服务器响应了这种信号包后，会等待请求发出者的回答，而攻击者不做任何的响应。当服务器在处理成知上万个虚假请求时，它便没有时间来处理正常的用户请求，处于这种攻击下的服务器和死锁没什么两样。此种防火墙的缺点是很明显的，通常它没有用户的使用记录，这样我们就不能从访问记录中发现黑客的攻击记录。此外，配置繁琐也是包过滤防火墙的一个缺点。它阻挡别人进入内部网络，但也不告诉你何人进入你的系统，或者何人从内部进入网际网路。它可以阻止外部对私有网络的访问，却不能记录内部的访问。包过滤另一个关键的弱点就是不能在用户级别上进行过滤，即不能鉴别不同的用户和防止IP地址盗用。包过滤型防火墙是某种意义上的绝对安全的系统。

　　2、堡垒主机

　　”堡垒主机“通常情况下它是由一台计算机担当，它是防火墙的最初设计，随后随着防火墙技术的发展，并得到了继续发展。堡垒主机的作用就是对进出的数据包进行审核，为进入内部网络设的一个检查点，以达到把整个内部网络的安全问题集中在某个主机上解决的目的。从堡垒主机的定义可以看到，堡垒主机是网络中最容易受到侵害的主机，所以堡垒主机必须是自身保护最完善的主机。多数情况下，一个堡垒主机使用两块网卡，分别连接内、外部网络。堡垒主机经常配置网关服务。

　　3、网络地址转换(NAT，Network Address Translate)

　　当受保护网连到Internet上时，受保护网用户若要访问Internet，必须使用一个合法的IP地址。但由于合法因特网IP地址有限，而且受保护网络往往有自己的一套本地IP地址规划。在防火墙上配置NAT技术，就需要在防火墙上配置一个合法IP地址集，当内部网络用户要访问Internet时，防火墙动态地从地址集中选一个未分配的地址分配给该用户，该用户即可使用这个合法地址进行通信。同时，对于内部的某些服务器如Web服务器，网络地址转换器允许为其分配一个固定的合法地址，内部网络用户就可通过防火墙来访问外部网络。

4

　　在防火墙上部署NAT的方式可以有以下几种：

　　●M-1：多个内部网地址转换到1个IP地址
　　●1-1：简单的一对一地址转换
　　●M-N：多个内部网地址转换到N个IP地址池

　　通过这样的地址转换后，既缓解了少量的因特网IP地址和大量主机之间的矛盾，又对外隐藏了内部主机的IP地址，提高了安全性。如果防火墙使用了NAT技术，所有的内部地址将会被转换成防火墙WAN端口上合法的因特网IP地址，以达到隐藏了内部网络用户身份的目的。

　　4、应用级网关(代理服务器)

　　顾名思义，应用级网关工作在OSI七层参考模型的应用层，也有人把它称为”代理服务器“技术。它属于第五代防火墙技术，它最早是由于998年，由NAI公司推出的，并在其产品Gauntlet Firewall for NT中得以实现。它给代理类型的防火墙赋予了全新的意义。